Plugin malevoli rubano le chiavi delle AI: il nuovo bersaglio è chi sviluppa

Quindici estensioni nascoste in un marketplace ufficiale esfiltravano le credenziali dei servizi di intelligenza artificiale. Un attacco alla catena di chi scrive software.

Di Redazione Core Matrix 16 giugno 2026 · 2 min di lettura

Plugin malevoli rubano le chiavi delle AI: il nuovo bersaglio è chi sviluppa

Per anni il bottino degli attacchi alla catena di sviluppo software sono stati i token cloud, le credenziali dei repository, i segreti dei sistemi di build. Ora c'è una nuova preda: le chiavi API dei servizi di intelligenza artificiale. Lo dimostra la scoperta resa pubblica il 16 giugno 2026 dai ricercatori di Aikido Security, che hanno individuato quindici plugin malevoli nel Marketplace di JetBrains, distribuiti da sette account venditori e capaci di accumulare circa 70.000 installazioni complessive prima di essere fermati.

Strumenti che fanno il loro lavoro, e qualcosa in più

La caratteristica più insidiosa di questa campagna è che i plugin funzionavano davvero come pubblicizzato. Un assistente AI integrato nell'IDE faceva esattamente ciò che l'utente si aspettava, senza segnali evidenti di compromissione. Ma nel momento in cui lo sviluppatore inseriva le proprie credenziali e cliccava su "Apply", i plugin esfiltravano le chiavi API dei principali provider di AI, OpenAI, DeepSeek e SiliconFlow, inviandole via HTTP verso un server codificato direttamente nel software.

I due plugin più diffusi, "DeepSeek AI Assist" con 27.727 installazioni e "CodeGPT AI Assistant" con 25.571, sfruttavano nomi familiari per ispirare fiducia. Alcuni andavano oltre il semplice furto: rivendevano agli utenti un livello a pagamento di chiavi "funzionanti", trasformando le credenziali rubate in un mercato secondario.

Le credenziali dei servizi AI sono diventate il nuovo bottino, e l'IDE dello sviluppatore il nuovo terreno di caccia.

Una campagna paziente e prolungata

Non si è trattato di un colpo isolato. I primi plugin sono stati pubblicati a ottobre 2025, e nuovi esemplari hanno continuato a comparire fino al 10 giugno 2026: oltre otto mesi di presenza attiva nel Marketplace ufficiale. Questa persistenza racconta molto della strategia degli attaccanti, che hanno scelto di mimetizzarsi nell'ecosistema legittimo invece di colpire e sparire.

I numeri 15 plugin malevoli, 7 account venditori, circa 70.000 installazioni totali. I primi pubblicati a ottobre 2025, gli ultimi fino al 10 giugno 2026. JetBrains ha rimosso tutti i quindici plugin e chiuso i sette publisher.

Il perimetro si è spostato

La risposta di JetBrains è stata netta: rimozione di tutti i plugin e chiusura degli account coinvolti. Ma l'episodio segnala un cambiamento di fondo. Man mano che le chiavi API dei modelli di linguaggio diventano centrali nel lavoro quotidiano di chi sviluppa, acquistano lo stesso valore che un tempo avevano le password dei server. E come ogni risorsa preziosa, attirano chi è disposto a costruire infrastrutture intere, e attese di mesi, per impadronirsene. Per chi scrive software, la lezione è chiara: anche lo strumento che vive dentro l'editor merita la stessa diffidenza riservata a qualsiasi altra dipendenza esterna.

For years, the prize in software supply-chain attacks has been cloud tokens, repository credentials, and build-system secrets. Now there is a new target: the API keys for artificial intelligence services. That is the lesson from a discovery made public on 16 June 2026 by researchers at Aikido Security, who identified fifteen malicious plugins in the JetBrains Marketplace, distributed by seven seller accounts and capable of amassing roughly 70,000 installations before being shut down.

Tools that do their job, and a little more

The most insidious feature of this campaign is that the plugins genuinely worked as advertised. An AI assistant embedded in the IDE did exactly what the user expected, with no obvious sign of compromise. But the moment a developer entered their credentials and clicked "Apply", the plugins exfiltrated the API keys of leading AI providers, OpenAI, DeepSeek and SiliconFlow, sending them over HTTP to a server hardcoded directly into the software.

The two most widespread plugins, "DeepSeek AI Assist" with 27,727 installations and "CodeGPT AI Assistant" with 25,571, leaned on familiar names to inspire trust. Some went beyond simple theft: they resold users a paid tier of "working" keys, turning stolen credentials into a secondary market.

Credentials for AI services have become the new prize, and the developer's IDE the new hunting ground.

A patient, prolonged campaign

This was no isolated strike. The first plugins were published in October 2025, and new specimens kept appearing until 10 June 2026: more than eight months of active presence in the official Marketplace. That persistence says a great deal about the attackers' strategy, which was to blend into the legitimate ecosystem rather than strike and vanish.

By the numbers 15 malicious plugins, 7 seller accounts, roughly 70,000 total installations. The first published in October 2025, the last as recently as 10 June 2026. JetBrains removed all fifteen plugins and shut down the seven publishers.

The perimeter has shifted

JetBrains' response was decisive: removal of every plugin and closure of the accounts involved. But the episode signals a deeper shift. As the API keys for language models become central to a developer's daily work, they take on the same value passwords for servers once held. And like any valuable asset, they attract those willing to build entire infrastructures, and wait out months of patience, to seize them. For anyone who writes software, the lesson is clear: even the tool that lives inside the editor deserves the same suspicion reserved for any other external dependency.

#supply chain#JetBrains#chiavi API#sviluppatori

Redazione Core Matrix

La redazione di Core Matrix Insights: analisi tecnico-scientifiche, con rigore, su AI, quantum computing, cybersecurity, tecnologia, finanza e scienza.

← Tutti gli articoli

Plugin malevoli rubano le chiavi delle AI: il nuovo bersaglio è chi sviluppa

Strumenti che fanno il loro lavoro, e qualcosa in più

Una campagna paziente e prolungata

Il perimetro si è spostato

Tools that do their job, and a little more

A patient, prolonged campaign

The perimeter has shifted

Articoli correlati

L'anello debole è la mente: anatomia dell'ingegneria sociale

"FortiBleed": credenziali esposte per 74.000 firewall Fortinet in tutto il mondo

144 pacchetti infettati in 88 minuti: il nuovo volto degli attacchi alla catena del software

Ricevi le analisi che contano